Política da Gestão de Riscos - Extranet Senac4 Política da Gestão de Riscos no Senac - Departamento Nacional 4.5.1 Efetividade do Controle 20 4.6 Planos de ação 21 4.6.1 Regras

Política da Gestão de Riscos

no Senac Departamento

Nacional

.

Outubro/2019

Política da Gestão de Riscos

no Senac Departamento

Nacional

Política da Gestão de Riscos no Senac – Departamento NacionalServiço Nacional de Aprendizagem Comercial – Senac

PresidenteJosé Roberto Tadros

Departamento NacionalDiretor-GeralSidney Cunha

Diretora de Educação ProfissionalAnna Beatriz Waehneldt

Diretor de Operações CompartilhadasJosé Carlos Cirilo

Coordenação EditorialAssessoria de Controladoria

Senac – Departamento NacionalAv. Ayrton Senna, 5555 – Barra da TijucaRio de Janeiro – RJ 22.775-004

Dados Internacionais de Catalogação na Publicação (Luis Guilherme Macena – CRB-7/6713)

Senac. Departamento Nacional. Política de gestão de riscos no Senac Departamento Nacional / Senac, Departamento Nacional. -- Rio de Janeiro : Senac, Departamento Nacional, 2019. 26 p. : il. ; 30 cm.

1. Senac. Departamento Nacional. 2. Política de Gestão de Riscos. I. Título.

CDD 658.155

3

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

1. Introdução 52. Conceitos e Modelos de Gestão de Riscos 6

2.1 Conceito de Riscos 62.2 Conceito de Controles 62.3 Conceito de Gestão de Riscos 62.4 Modelo COSO 62.5 Modelo ISO 31000 7

3. Estrutura de Gestão de Riscos no Senac - DN 93.1 Linhas de Defesa 9

3.1.1 Primeira Linha de Defesa 93.1.2 Segunda Linha de Defesa 93.1.3 Terceira Linha de Defesa 10

3.2 Competências 103.2.1 Ordem de Serviço 20/2018 103.2.2 Metodologia aprovada 11

4. Metodologia para Avaliação dos Riscos e Controles 134.1 Estabelecimento do Contexto Organizacional 134.2 Identificação dos Riscos 144.3 Análise e Avaliação dos Riscos 15

4.3.1 Priorização e Critérios de Riscos 154.3.2 Escala de Impacto 174.3.3 Escala de Probabilidade 174.3.4 Tratamento dos Riscos 18

4.4 Identificação dos Controles 194.5 Análise e avaliação de controles 20

Sumário

4

Política da Gestão de Riscos no Senac - Departamento N

acional

4.5.1 Efetividade do Controle 204.6 Planos de ação 21

4.6.1 Regras de Reprogramação e Cancelamento 224.7 Monitoramento e Análise Crítica 22

5. Ferramenta Tecnológica Utilizada na Gestão de Riscos 245.1 Objetivo 245.2 Gestão da Ferramenta Tecnológica 245.3 Monitores de Riscos das Áreas 245.4 Modus Operandi 25

5.4.1 Incluindo Plano de Risco e Controles 255.4.2 Incluindo Riscos ao Plano 255.4.3 Incluindo Controles aos Riscos 255.4.4 Incluindo Evidências nos Controles 255.4.5 Aprovar os riscos e controles 265.4.6 Cadastrar planos de ação para tratamento dos riscos 265.4.7 Monitorar o trabalho 26

5

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

A busca pela concretização dos objetivos de uma organização envolve sua exposição a riscos de-correntes do exercício de suas atividades, do impacto de mudanças ocorridas nos cenários externos à organização e da necessidade de adequação à legislação e aos normativos reguladores vigentes.

Diante desse cenário, é importante que as organizações realizem uma boa gestão de riscos, de modo que possam propiciar razoável segurança na conquista dos objetivos, na tomada de decisões, no planejamento das atividades, na redução das perdas e custos, na eficiência operacional, no uso dos recursos e, consequentemente, na melhoria da prestação do serviço.

Além das boas práticas de mercado, gerenciar riscos e controles internos é importante, tendo em vista as exigências legais, que são regidas, principalmente, pelos seguintes normativos e modelos metodológicos:

� Decreto Federal 8.420/15 (art. 42 – parâmetros: V, VI, VII, VIII);

� COSO;

� ABNT NBR ISO 31000 : 2009/2018;

� Declaração de Posicionamento do IIA – Gerenciamento de Risco Eficaz;

� Acórdão TCU nº 1.171-Plenário, de 2017.

Diante do exposto, o Departamento Nacional do Senac (Senac - DN) elaborou esta Política da Ges-tão de Riscos, que tem por objetivo apresentar a metodologia de gerenciamento de riscos utilizada internamente.

Neste documento, estão descritos os procedimentos a serem utilizados na aplicação da metodologia, conceitos, papéis e responsabilidade, classificação, avaliação e adoção de respostas aos eventos de riscos, instruções para o monitoramento e a comunicação, a fim de orientar e subsidiar a implanta-ção do gerenciamento de riscos nos principais processos e/ou atividades desenvolvidas pelas áreas organizacionais do Senac - DN.

1. Introdução

6


acional

2. Conceitos e Modelos de Gestão de Riscos

2.1 Conceito de RiscosA ISO 31000 define risco como o efeito da incerteza nos objetivos. Trata-se da possibilidade de ocor-rências de eventos, positivos ou negativos, que interferem no alcance dos objetivos.

Os riscos devem ser tratados e monitorados, uma vez que sua concretização traz impactos aos obje-tivos da Entidade.

2.2 Conceito de ControlesControle interno é um processo conduzido pelas diversas áreas da Entidade e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos.

Assim, os controles internos compõem a gestão de riscos, uma vez que são ferramentas fundamen-tais na mitigação dos riscos.

2.3 Conceito de Gestão de RiscosGestão de riscos é um conjunto de ações que visa uma atuação preventiva da empresa, possibilitan-do diminuir os impactos e a probabilidade de possíveis perdas nas ocorrências de riscos.

Para nortear a Gestão de Riscos, o Senac - DN utilizou como base para sua metodologia os Guias de Gestão COSO ERM (2017) e ABNT NBR ISO 31000:2018.

2.4 Modelo COSOO Guia COSO ERM preconiza a gestão de riscos em três dimensões fundamentais à gestão de uma organização: (1) missão, visão e valores centrais; (2) objetivos estratégicos e de negócios; e (3) de-sempenho organizacional.

7

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

O modelo explora a gestão da estratégia e dos riscos corporativos a partir de três perspectivas di-ferentes:

� A possibilidade de que os objetivos estratégicos e de negócios não se alinharem com a missão, a visão e os valores centrais da organização;

� As implicações da estratégica escolhida; e

� Os riscos para a execução da estratégia.

Figura 1 – Modelo de gestão de riscos COSO ERM 2017

Objetivos Estratégicos e de Negócios

Desempenho Otimizado

Governança e Cultura

Estratégia e Definição de Objetos

Desempenho

Revisão e Correção

Informação, Comunicação e Reporte

Geren

ciamento de Riscos Corporativos

Missão, Visão, Valores fundamentais

2.5 Modelo ISO 31000O modelo vem prover princípios e diretrizes para gerenciar todos os possíveis fatores de risco, sejam eles internos ou externos.

A ISO 31000 (ABNT NBR ISO 31000:2018) se fundamenta em seus princípios, estrutura e o processo de gestão de riscos.

Assim, o modelo pode beneficiar empresas públicas, privadas ou comunitárias, pois fornece uma abordagem comum e aplicável em diversas atividades, incluindo planejamento, operações de gestão e processos de comunicação.

8


acional

Figura 2 – Processo de Gestão de Riscos da ISO 31000 (ABNT,2009)

Processo de avalia ção de riscos (5.4)

Comunicação e consulta

(5.2)

Monitoramento e análise crítica

(5.6)

Estabelecimento do contexto (5.3)

Identificação de riscos (5.4.2)

Análise de riscos (5.4.3)

Avaliação de riscos (5.4.4)

Tratamento de riscos (5.5)

9

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

3. Estrutura de Gestão de Riscos no Senac - DN

3.1 Linhas de DefesaO modelo se estrutura em três frentes que são denominadas como “linhas de defesa”. A simetria das linhas de defesa viabilizará formas para contornar todo e qualquer fator que venha trazer algum prejuízo para a Instituição.

3.1.1 Primeira Linha de DefesaEntende-se que a primeira linha de defesa seja “o controle da gerência, pois é o gestor que tem pro-priedade sobre os riscos. Os gestores são os responsáveis pelo estabelecimento de controles internos e por agir corretivamente para resolver qualquer lacuna ou deficiência em seus processos e controles. Portanto, a gerência operacional é responsável por manter controles internos eficazes e conduzir o binômio risco/controle cotidianamente. Identificando, avaliando, controlando e mitigando os riscos, o gestor deve visar garantir que as atividades realizadas estejam de acordo com as metas e objeti-vos da organização e que os controles estabelecidos permitam a operacionalização do negócio da organização. Além disso, cabe à primeira linha de defesa a supervisão da execução das atividades, por parte de seus funcionários. Os controles devem permitir a continuidade das operações mes-mo diante de eventos inesperados”. (Acórdão TCU nº 1.171/2017 apud The Institute of Internal Auditors – IAA)

O Departamento Nacional do Senac considera seus gestores como responsáveis pela primeira linha de defesa, de forma a cumprir os termos do citado acórdão, bem como a conformidade com as me-todologias-base utilizadas pelo mercado.

3.1.2 Segunda Linha de DefesaA segunda linha de defesa é a supervisão de conformidade. “Esta linha visa ajudar o desenvolvimen-to e o monitoramento dos controles da primeira linha de defesa. Para isso, pode-se pensar em um co-mitê de gerenciamento de riscos que facilite a implementação de práticas eficazes de gerenciamento

10


acional

de riscos e/ou que monitore riscos específicos, como a não conformidade com leis e regulamentos aplicáveis. Também pode fornecer estruturas de gerenciamento de riscos, identificar mudanças no apetite ao risco da organização, fornece orientações e treinamento sobre processos de gerenciamen-to de riscos, monitorar a adequação e a eficácia do controle interno, a precisão e a integridade do reporte e a resolução oportuna de deficiências, por exemplo”. (Acórdão TCU nº 1.171/2017 apud The Institute of Internal Auditors – IAA)

O Departamento Nacional do Senac considera o Conselho Fiscal, o Comitê Técnico do Programa de Integridade e a Assessoria de Controladoria como responsáveis pela segunda linha de defesa, de forma a cumprir os termos do citado acórdão, bem como a conformidade com as metodologias-base utilizadas pelo mercado.

3.1.3 Terceira Linha de DefesaEntende-se como terceira linha de defesa a avaliação dos controles internos, do gerenciamento de riscos e da governança, cuja responsabilidade é da Auditoria Interna, Auditoria Independente e/ou Órgãos Fiscalizadores Externos. “Estes, fornecem ao órgão de governança e à Alta Administração avaliações abrangentes. Possui a maior independência dentro da organização e, por isso, é capaz de prover a governança com avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos”. (Acórdão TCU nº 1.171/2017 apud The Institute of Internal Auditors – IAA)

O Departamento Nacional do Senac considera os órgãos de controle do governo, tais como Minis-tério da Transparência e Controladoria-Geral da União (CGU) e o Tribunal de Contas da União (TCU), responsáveis pela terceira linha de defesa, de forma a cumprir os termos do citado acórdão, bem como a conformidade com as metodologias-base utilizadas pelo mercado.

3.2 Competências

3.2.1 Ordem de Serviço 20/2018Para a segunda linha de defesa, foi instituído o Comitê Técnico do Programa de Integridade do De-partamento Nacional do Senac - DN (Comitê), por força da Ordem de Serviço Senac 20/2018, que é responsável por:

a. Supervisionar o Programa de Integridade do Departamento Nacional do Senac;

b. Definir, gerenciar, comunicar e assessorar o Diretor-Geral quanto à implementação da gestão de

11

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

riscos, à avaliação de controles internos, propondo aos gestores ajustes e medidas preventivas e proativas;

c. Convocar as reuniões do Comitê Técnico;

d. Dirimir dúvidas quanto à identificação de determinados riscos no âmbito interno com os gestores das áreas.

A composição dos membros do Comitê será revista anualmente.

O Comitê deverá se reunir semestralmente, em caráter ordinário, e de forma extraordinária, median-te convocação de qualquer de seus membros ou por determinação do Diretor-Geral do Departamen-to Nacional.

O Diretor-Geral é responsável por designar o Comitê Técnico do Programa de Integridade, que ficará sob a coordenação da Assessoria de Controladoria.

A Assessoria de Controladoria é responsável, entre outras atribuições, por identificar riscos relaciona-dos à operação do Departamento Nacional, em apoio às diversas áreas, conforme determina o artigo 8º do Regimento Interno do Senac - DN.

3.2.2 Metodologia aprovadaA metodologia aprovada indica as responsabilidades da primeira linha de defesa, conforme segue:

a. Gestores das áreas:

� Apresentar aos seus Diretores os nomes indicados para serem monitores de riscos dentro de suas áreas;

� Sugerir os processos prioritários para gerenciamento dos riscos; � Monitorar as operações do processo de Gestão de Riscos realizadas na área; � Validar e contribuir na tomada de decisões dos planos de ação definidos na gestão dos riscos de

sua área; e � Monitorar a execução dos planos de ação definidos para tratamento dos riscos identificados

pelos gestores dos riscos de sua área.

b. Monitores de Riscos:

� Monitorar, propor e incentivar práticas referentes ao processo de identificação, análise, avaliação e tratamento dos riscos na área sob sua responsabilidade; e

12


acional

� Comunicar as ações realizadas aos gestores das áreas.

É importante ressaltar que o monitor de risco do Departamento Nacional do Senac será indicado pelo gestor. Cada área deverá indicar 1 (um) monitor de risco, podendo chegar ao máximo de 3 (três), apenas nos casos de áreas (gerências) compostas por mais de 10 (dez) empregados.

Todos os monitores de riscos são responsáveis por garantir que novos riscos sejam identificados e monitorados, além de comunicá-los aos gestores de área, que informam à Assessoria de Controla-doria, para ciência e atuação.

13

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

4. Metodologia para Avaliação dos Riscos e Controles

4.1 Estabelecimento do Contexto OrganizacionalFornece os critérios que definem como o Processo de Gestão de Riscos será conduzido, compreen-dendo o entendimento da Organização, de seus objetivos e do ambiente no qual se insere, a partir da identificação dos ambientes, internos e externos, que podem influenciar no alcance de suas fina-lidades.

I. Ambiente interno é aquele que pode ser controlado pela alta Administração, pois resulta dos ob-jetivos definidos pela Organização. Durante a análise criteriosa do ambiente interno, os pontos fortes identificados devem ser ressaltados, sendo os pontos fracos merecedores de ação imedia-ta no sentido de retificá-los ou minimizar seus efeitos.

II. Quanto ao ambiente externo, este compreende as situações que estão totalmente fora do cam-po de controle da alta Administração. Todavia, os gestores devem conhecê-las e monitorá-las frequentemente, de modo a usufruir de suas oportunidades e evitar ou minimizar suas ameaças.

III. Algumas técnicas e ferramentas poderão ser utilizadas para auxiliar na análise dos ambientes e identificação dos riscos, como brainstorming, questionários, entrevistas, checklist, séries tem-porais, análise de premissas, diagramas de causa e efeito, ou outras que sejam julgadas mais adequadas pelas áreas, juntamente com seus Diretores e a Assessoria de Controladoria.

É importante, nesta etapa inicial do trabalho, a elaboração do documento Dossiê de Atividades, que serve de base para a identificação dos riscos e controles da área sob análise e relata suas atividades, além de indicar quem, onde, quando e como são executadas.

O Dossiê de Atividades é elaborado pela Assessoria de Controladoria, em reunião de abertura do trabalho, e deve ter consenso e aprovação da área em foco.

14


acional

4.2 Identificação dos RiscosTem por objetivo produzir uma lista abrangente com a identificação dos eventos de risco que afetam a realização dos objetivos de um processo, assim como suas causas e potenciais consequências. Tais eventos de risco não devem ser entendidos de forma isolada, e sim como parte de um contexto, visto que há uma relação de causa e efeito entre seu estabelecimento e o impacto nos objetivos institucionais.

Todos os riscos devem ser incluídos no processo de identificação, mesmo aqueles provenientes de ambientes não controlados pela Instituição (ambiente externo) ou supostamente classificados como de menor relevância.

Quanto à categoria dos riscos, de maneira didática, os eventos serão classificados, de acordo com as peculiaridades do Departamento Nacional do Senac, como:

a. Auditoria: eventos específicos dos trabalhos de auditorias interna e externa que possam compro-meter as avaliações e opiniões dos auditores sobre as demonstrações financeiras e operações do Departamento Nacional do Senac;

b. Financeiro: eventos que podem comprometer a capacidade econômica das diversas áreas do Departamento Nacional do Senac, impedindo-as de honrar seus compromissos financeiros;

c. Imagem: eventos que podem comprometer a confiança da sociedade em relação à capacidade do Departamento Nacional do Senac em cumprir sua missão institucional ou que interfiram dire-tamente em sua reputação;

d. Integridade: eventos que podem afetar a probidade administrativa da gestão, causados por omissões, desvios éticos e de conduta;

e. Legislação/Normas Internas: eventos que podem ser gerados pelo não cumprimento de leis, regulamentos e demais normativos internos aplicáveis;

f. Operacional: eventos que podem comprometer as atividades organizacionais, sejam eles asso-ciados a falhas, deficiência ou inadequação de processos internos, recursos humanos, infraestru-tura e/ou sistemas, afetando o esforço da gestão quanto à eficácia e à eficiência dos processos;

g. Orçamentário: eventos que podem comprometer a realização das atividades institucionais, o equilíbrio das receitas ou a própria execução orçamentária; e

h. Estratégico: eventos que podem impactar na missão, na visão, nas metas ou nos objetivos es-tratégicos do Departamento Nacional do Senac.

15

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

Os riscos identificados pela Assessoria de Controladoria em conjunto com as diversas áreas serão registrados na Matriz de Riscos, na qual, posteriormente, serão realizados os procedimentos de análise e avaliação.

Cabe ressaltar que nossa metodologia identifica as oportunidades (riscos positivos) como ações de melhorias, que são estabelecidas em planos de ação. Tais oportunidades não são objeto de avaliação como ocorre com os Riscos identificados, mas são alinhadas e implantadas pelas áreas sob análise.

4.3 Análise e Avaliação dos RiscosA Assessoria de Controladoria apreciará os eventos de riscos, suas causas e consequências negati-vas, a fim de classificá-las por prioridade, subsidiando a avaliação dos riscos e a decisão sobre qual tratamento deverá ser adotado. A finalidade da avaliação de riscos é comparar o nível de risco en-contrado durante o processo de análise com os critérios de riscos definidos, utilizando os resultados como subsídio para a tomada de decisões sobre quais riscos necessitam ser tratados com prioridade.

Inicialmente, deverá ser calculado o nível do Risco Real (é ligado ao negócio e sua existência in-depende de qualquer ação tomada para reduzi-lo), obtido por meio do produto aritmético entre a Probabilidade (P) e o Impacto (I). Para tanto, há de se considerar a probabilidade como as chances de o evento de risco ocorrer e o impacto como as consequências associadas ao evento de risco con-cretizado. Infere-se, portanto, que, quanto maior a probabilidade e o impacto nos objetivos, maior será o nível do risco real.

Risco Real = Probabilidade X Impacto

4.3.1 Priorização e Critérios de RiscosVisa comparar o nível de risco encontrado durante o processo de análise com os critérios de riscos definidos, utilizando os resultados como subsídio para a tomada de decisões sobre quais riscos necessitam ser tratados com prioridade, considerando, aqui, a criticidade e a justificativa para inter-venção da Instituição.

Os critérios de risco ficam definidos conforme os seguintes parâmetros:

a. Escala de Probabilidade: mensura-se a chance de um evento ocorrer pelo menos uma vez;

b. Escala de Impacto: define as consequências dos riscos, considerando seus efeitos perante os

16


acional

objetivos e a sua capacidade de recuperação. Desse modo, para a definição do nível do impacto, é necessário primeiro considerar os objetivos do processo de trabalho analisado;

c. Risco Real: definido como a multiplicação do Fator Probabilidade com o Fator Impacto;

d. Escala de Exposição a Risco: define como a Instituição convive com o risco. Essa escala dis-tingue-se da Probabilidade devido ao conceito de evento marginal, ou seja, quando se convive com eventos de risco consecutivamente, perde-se o conceito único da probabilidade (uma única ocorrência);

e. Matriz “Probabilidade versus Impacto”: é o chamado Grau de Criticidade e adota-se uma ma-triz de 5 linhas por 5 colunas, gerando quatro níveis de exposição ao risco (baixo, médio, alto, extremo). Eventualmente, pode-se adotar a metodologia da Matriz de Risco de Willian T. Fine (WTF), inserindo a “Exposição ao Risco”;

f. Matriz “Classificação de Riscos” quanto ao Impacto: categoriza os riscos do menor para o maior definidos como “Muito Baixo”, “Baixo”, “Médio”, “Alto” e “Muito Alto”. A descrição para cada categorização encontra-se no item 4.3.2 desta Política;

g. Matriz “Classificação de Riscos” quanto à Probabilidade: categoriza os riscos do menor para o maior definidos como “Muito Baixo”, “Baixo”, “Médio”, “Alto” e “Muito Alto”. A descrição para cada categorização encontra-se no item 4.3.3 desta Política;

h. Matriz “Classificação de Riscos” do produtório (multiplicação: Impacto x Probabilidade x Ex-posição ao Risco = Grau de Criticidade): categoriza os riscos do menor para o maior, como “Baixo”, “Médio”, “Alto” e “Extremo”;

i. Recomendação para tratamento de risco: determina a diretriz, a resposta ao risco, o plano de ação e o cronograma de execução;

j. Eficácia do controle existente: critério utilizado para cálculo do risco residual, o qual analisa a situação do controle existente quanto a implementação, abrangência e eficiência. Desse modo, os controles podem ser categorizados como “Inexistente”, “Mediano” e “Satisfatório”.

17

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

4.3.2 Escala de ImpactoQuanto ao impacto, a avaliação será realizada levando em consideração a seguinte escala de efeitos causados pelo risco aos objetivos:

Tabela 1 – Escala de Impacto

Diretriz Descrição Avaliação

Muito Baixo Impacto insignificante nos objetivos 1

Baixo Impacto mínimo nos objetivos 3

Médio Impacto significante nos objetivos, com possibilidade de recuperação 5

Alto Impacto significante nos objetivos, com possibilidade remota de recuperação 7

Muito Alto Impacto máximo nos objetivos, sem possibilidade de recuperação 9

4.3.3 Escala de ProbabilidadeNa avaliação da probabilidade, o gestor deverá considerar as seguintes classificações:

Tabela 2 – Escala de Probabilidade

Diretriz Descrição Avaliação

Muito Baixa Evento extraordinário, sem histórico de ocorrência 1

Baixa Evento casual e inesperado, com ou sem histórico de ocorrência reduzida 3

Média Evento esperado, com histórico de ocorrência reduzida 5

Alta Evento usual, com histórico de ocorrência frequente 7

Muito Alta Evento repetitivo, com histórico de ocorrência constante 9

Casos de eventos sem histórico de ocorrência, mas julgados com probabilidade elevada de ocorrên-cia no horizonte de interesse, devem ser suportados pela frequência do evento (apenas a primeira parte da expressão).

Ao final desta etapa, os riscos inerentes analisados com maior nível de probabilidade e impacto

18


acional

serão classificados como prioritários em relação àqueles cujas consequências e probabilidades de ocorrência são mais baixas. Os resultados aritméticos da combinação dos fatores estão descritos na Matriz Probabilidade versus Impacto, que será responsável por definir o nível do risco. Os gestores de área e de riscos não poderão fazer adequações nesta matriz.

Tabela 3 - Matriz de Classificação de Riscos (Probabilidade x Impacto)

Nível de RiscoExtremo

AltoMédioBaixo

Probabilidade (requer controles preventivos)

1Muito baixa

3Baixa

5Média

7Alta

9Muito alta

Impa

cto

(rqu

er c

ontr

oles

def

ectiv

os)

9Muito alta

9 27 45 63 81

7Alta 7 21 35 49 63

5Média 5 15 25 35 45

3Baixa 3 9 15 21 27

1Muito baixa

1 3 5 7 9

Não obstante, o Departamento Nacional do Senac elaborou a Matriz de Classificação de Riscos (Tabe-la 3), conforme melhores práticas de mercado, além de comparativos com o Referencial de Gestão de Riscos do Tribunal de Contas da União (TCU) e treinamentos da Controladoria-Geral da União (CGU).

4.3.4 Tratamento dos RiscosConsiste na seleção da resposta a ser adotada para modificar o nível do evento de risco, na elab-oração de plano de ação e no estabelecimento de prazos para implementação das ações. O plano de ação estabelecido pode implicar a adoção de novos controles ou a modificação de controles já existentes.

19

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

As opções de resposta para tratamento dos riscos são:

a. Mitigar o risco: consiste na redução do impacto ou da probabilidade de ocorrência do risco.

b. Aceitar o risco: quando nenhuma ação específica é tomada, seja porque o nível do risco é con-siderado baixo e tolerável pelo Senac - DN, seja porque a capacidade para tratá-lo ou é limitada ou o custo é desproporcional ao benefício.

c. Evitar o risco: quando se decide por não iniciar ou continuar a ação que promove o risco ou, ainda, eliminar o processo ou a fonte do risco.

d. Compartilhar o risco: consiste na transferência de uma parte do risco a terceiros.

Diante da realidade das áreas do Senac - DN, adotamos como tratamento apenas a ação de miti-gação ou de aceitação do risco.

Para os casos de aceite do risco, as seguintes medidas serão tomadas:

� Elaboração de Termo de Aceite, com aprovação do gestor e Diretor da área; � Monitoramento do risco, quando este for baixo; � Elaboração de plano de contingência para os riscos médios ou altos.

Para os casos de mitigação do risco, será obrigatória a inclusão de controles ao plano de riscos.

Após o tratamento de determinado risco, pode ocorrer a incidência de um risco residual. No entanto, para que esse risco residual seja aceito, é indispensável confrontá-lo com o apetite a riscos do Depar-tamento Nacional do Senac, a fim de verificar se ele está compreendido no nível de risco aceito pela Instituição no alcance de seus objetivos. Caso não esteja, deverá ser adotado, também, um plano para tratamento desse risco residual consequente.

4.4 Identificação dos ControlesOs controles são adotados pela gestão para reduzir a probabilidade ou os impactos do risco e são classificados de acordo com a sua eficácia, o que resultará no Risco Residual (RR).

A partir do reconhecimento do Risco Residual, será possível avaliar e classificar os eventos de risco, priorizando aqueles que demandam maior atenção em seu monitoramento, além de permitir iden-tificar a aceitação de seu nível de risco, de acordo com o apetite de riscos do Senac - DN (nível de aceitação ao risco).

20


acional

Se o nível do risco residual identificado é igual ou inferior ao apetite de riscos do Senac - DN (quadrantes verdes, amarelos e laranjas na matriz), então o risco é dito aceitável e, portanto, requer a manutenção do tratamento já empregado (controles) ou apenas seu monitoramento, de modo a evitar o agravamento do risco. No entanto, se o nível de um risco residual é superior ao apetite admitido pelo Senac - DN, isto é, encontra-se na região dos três quadrantes de nível extremo (ver-melho), então, obrigatoriamente, esse risco demandará uma ação urgente de mitigação em seu tratamento, a fim de reduzi-lo a um nível aceitável.

É importante ressaltar que analisar e avaliar os riscos fornece subsídios para a tomada de decisões sobre quais necessitam de atuação imediata (novos controles e outras ações) e permitem também o seu monitoramento, não só pelos seus gestores, como também pelo Comitê do Programa de Integ-ridade.

Assim, a Assessoria de Controladoria identificará os controles pertinentes, em conjunto com a área em foco, a fim de obter o menor nível de risco residual possível.

4.5 Análise e avaliação de controlesNesta etapa, os controles identificados são analisados e avaliados quanto a sua implementação e conforme a Efetividade do Controle.

4.5.1 Efetividade do ControleA etapa posterior à avaliação do risco real será a identificação de controles destinados ao enfrenta-mento das situações levantadas. Uma vez constatados, tais controles deverão ser descritos e classi-ficados quanto a sua eficácia, de acordo com a tabela a seguir.

Tabela 4 – Definição da Eficácia dos Controles

Eficácia do Controle Situação do Controle Existente

Inexistente Ausência completa de controle

Mediano Controle está sustentado em ferramenta moderadamente adequada

Satisfatório Controle está sustentado por ferramentas adequadas e mitiga orisco razoavelmente

Uma vez classificado o controle, o valor do risco real e do processo e/ou procedimento em avaliação deverá ser multiplicado pela Efetividade do Controle (EC) referente à eficácia de seu controle, de

21

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

modo a identificar qual o valor do Risco Residual (persiste em permanecer, mesmo após de ter toma-do uma ação para gerenciá-lo) e qual a classificação da diretriz do risco. O cálculo a ser utilizado corresponderá à seguinte fórmula:

Risco Residual = Risco Real X Efetividade do Controle

Após o dimensionamento do risco residual, o evento de risco será classificado de acordo com a ta-bela de Níveis de Risco, utilizada para estabelecer o nível crítico dos riscos identificados e definida a partir da Matriz de Classificação de Riscos (abaixo).

Tabela 5 – Níveis de Risco

Risco Extremo 63 a 81

Risco Alto 35 a 49

Risco Médio 9 a 27

Risco Baixo 1 a 9

Portanto, o resultado do processo de análise de riscos será o de atribuir, para cada risco identificado (tanto Real quanto Residual), a classificação de probabilidade e impacto do evento de risco nos ob-jetivos, cuja combinação determinará o nível inerente do risco ao qual se está exposto.

4.6 Planos de açãoPlano de ação é uma ferramenta utilizada para consolidar as informações necessárias ao atingimento de um objetivo, cuja elaboração se dá, geralmente, por meio da metodologia 5W2H, cuja base são as respostas para sete perguntas essenciais: What (O que será feito?); Why (Por que será feito?); Where (Onde será feito?); When (Quando?); Who (Por quem será feito?); How (Como será feito); How much (Quanto vai custar?).

O Senac - DN utiliza em sua metodologia de Gestão de Riscos a definição de planos de ação1 para os casos de controles identificados com alguma pendência, seja de evidência, de revisão do seu desen-ho, ou mesmo em casos de ausências de controles. Tais situações são denominadas Gaps.

1 Para fins da gestão de riscos, plano de ação pode ser entendido como plano de providências para tratar os riscos, diferentemente da acepção contida no documento institucional de periodicidade anual, o Plano de Ação do Departamen-to Nacional, que representa o desdobramento de objetivos estratégicos do mapa corporativo Senac Brasil (quadrienal) em metas, indicadores e projetos do Senac-DN previstos para o exercício.

22


acional

Para todos os Gaps identificados serão sugeridos planos de ação, que devem ser negociados com as áreas, e incluídas as informações necessárias em sistema (BPMS) para acompanhamento pela Assessoria de Controladoria.

Todos os planos de ação devem ser respondidos via sistema, e as evidências anexadas para análise e baixa do plano.

4.6.1 Regras de Reprogramação e CancelamentoA metodologia de Gestão de Riscos do Senac - Departamento Nacional permite até duas repro-gramações dos planos de ação para tratamento dos riscos, ou o seu cancelamento, desde que aten-didas as seguintes premissas:

Tabela 6 – Reprogramações e cancelamentos de Planos de Ação ante os riscos identificados

Reprogramações Cancelamentos

Devem ser solicitadas com, no mínimo, 7dias úteis do vencimento

Devem ser solicitadas com, no mínimo, 7dias úteis do vencimento

Podem ser feitas até 2 reprogramações -

Devem conter justificativas plausíveis Devem conter justificativas plausíveis

Devem ser consideradas novas datas factíveis -

Devem ser aprovadas pelo Diretor da área Devem ser aprovadas pelo Diretor da área

4.7 Monitoramento e Análise CríticaAs ações de monitoramento e de análise crítica configuram etapa contínua e essencial do Processo de Gestão de Riscos, tendo em vista que:

� Possibilitam identificar mudanças no perfil do risco e ajustar a resposta, a prioridade e os planos de ação adotados, com base na reavaliação dos contextos internos e externos;

� Asseguram o acompanhamento dos eventos de risco, suas alterações, sucessos e fracassos;

� Garantem a eficácia e a eficiência dos controles adotados;

� Identificam os riscos que poderão surgir após o processo de análise crítica, permitindo que o ciclo do Processo de Gestão de Riscos seja reiniciado;

� Possibilitam a atualização e melhoria contínua de gestão de riscos, de sua estrutura e política.

23

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

Todos os gestores de riscos são responsáveis por garantir que novos riscos sejam identificados e monitorados, com o apoio de seus monitores de riscos, além de comunicá-los ao Comitê do Pro-grama de Integridade, para ciência e atuação, conforme suas atribuições.

O monitoramento será realizado da seguinte forma:

� Trimestralmente, será enviada aos gestores, via sistema BPMS, a atividade de revalidação dos riscos e controles, que consiste em afirmar que não houve mudança nos riscos e controles de-senhados, não existindo necessidade de revisão do plano. Caso existam mudanças, o trabalho não deve ser revalidado, e, sim, solicitada nova revisão. Por ocasião das revalidações, serão solicitadas, pela Assessoria de Controladoria, evidências de cada um dos controles listados, a fim de validarmos que todos são executados com a frequência determinada e desenhos acordados.

� Anualmente, será enviada aos gestores, via sistema BPMS, a atividade de revisão dos riscos e controles, que consiste em revisar todo o plano, a fim de identificar mudanças ou novos riscos e controles não observados anteriormente. Por ocasião das revisões, serão solicitadas, pela Asses-soria de Controladoria, evidências de cada um dos controles listados, a fim de validarmos que todos são executados com a frequência determinada e desenhos acordados.

Caso existam controles com deficiência de execução, serão gerados novos planos de ação, a fim de corrigir tais falhas.

É importante ressaltar que o monitoramento deve ser contínuo e dinâmico (vivo), de forma que todo o trabalho seja periodicamente revisitado, não apenas pela Assessoria de Controladoria, mas por todos os envolvidos na gestão de riscos no Departamento Nacional do Senac.

24


acional

5. Ferramenta Tecnológica Utilizada na Gestão de Riscos

5.1 ObjetivoO BPMS (SE-Suite) foi o sistema escolhido para suporte ao trabalho de Gestão de Riscos no Departa-mento Nacional do Senac, e já se encontra homologado e em utilização pela Assessoria de Controla-doria. Este trabalho tecnológico tem por objetivo traduzir a metodologia descrita no item 4 e apoiar as diversas áreas na identificação e avaliação dos seus riscos e controles, além de realizar os cálculos automáticos para classificação da faixa de riscos em que a área e o Senac - DN se encontram.

O sistema será estruturado de acordo com informações coletadas em workshop, em que as áreas identificarão os riscos e controles, com o apoio da Assessoria de Controladoria. Após a etapa de workshop, a Assessoria de Controladoria incluirá os levantamentos e análises no sistema BPMS e a área validará, gerando a respectiva Matriz de Riscos.

5.2 Gestão da Ferramenta TecnológicaO gerenciamento do sistema será realizado pela Assessoria de Controladoria, em conjunto com a Gerência de TI, tendo em vista a necessidade de centralização da manutenção e parametrização do sistema.

5.3 Monitores de Riscos das ÁreasUm colaborador será designado para acompanhar o risco e realizar uma verificação e observação crítica de forma contínua pelo sistema, a fim de identificar mudanças no nível de desempenho re-querido ou esperado. O colaborador tem a responsabilidade de monitorar e, também, tomar medidas cabíveis ao processo designado, sempre comunicando seu gestor e a Assessoria de Controladoria.

A existência de um monitor não exime a participação do gestor no processo de gestão de riscos, tendo em vista sua responsabilidade como aprovador de todo o trabalho realizado.

25

Polít

ica d

a Ge

stão

de

Risc

os n

o Se

nac

- Dep

arta

men

to N

acio

nal

5.4 Modus Operandi

5.4.1 Incluindo Plano de Risco e ControlesA criação de um plano de risco e controle é o início de todo o processo, pois nele será elaborado um pensamento estratégico para cada risco, direcionado para cada área da Instituição. Feitos os procedimentos pertinentes o plano de risco é criado no sistema e está apto a receber os cadastros de riscos e controles.

5.4.2 Incluindo Riscos ao PlanoCom o plano devidamente elaborado e inscrito no sistema, a inserção de riscos terá por finalidade realizar uma identificação e categorização dos riscos, conforme o item 4.2 deste documento.

Para determinar qual será o tratamento dos riscos já identificados, deverá ser alinhada com a área a opção de tratamento: aceite do risco ou mitigar.

Após o tratamento do risco, gera-se uma necessidade de classificação, ficando a cargo do usuário avaliar e informar ao sistema qual a Probabilidade e o Impacto.

O sistema emite então uma avaliação de riscos (versão 0) para o risco real, sendo necessária a in-clusão e classificação dos controles para cálculo do risco residual.

5.4.3 Incluindo Controles aos RiscosOs controles devem ser incluídos no plano de riscos, e seu cadastro deve ser completo, de forma a suportar a classificação citada no item 4.5.1.

Os principais campos de preenchimento são: implementação, tipo de automatização, característica do controle, frequência e avaliação do controle.

Após a classificação, o sistema calcula o risco real com base nas regras já parametrizadas.

5.4.4 Incluindo Evidências nos ControlesNo momento da inclusão dos controles nos riscos, devem ser anexadas as evidências que compro-vam a existência e a execução de tais atividades.

Assim, o sistema BPMS possui campo específico no cadastro do controle para anexar arquivos exter-

26


acional

nos, enviados pelas áreas (planilhas, relatórios, entre outros armazenados fora do sistema), ou asso-ciar documentos internos, armazenados no componente Documento do próprio sistema (Resoluções e outros normativos oficiais).

5.4.5 Aprovar os riscos e controlesAo completar os cadastros, a Assessoria de Controladoria libera a versão e envia os riscos e con-troles para aprovação, que segue o seguinte fluxo:

� 1ª aprovação – monitor de riscos;

� 2ª aprovação – gestor;

� 3ª aprovação – Assessoria de Controladoria.

5.4.6 Cadastrar planos de ação para tratamento dos riscosNesta etapa cadastramos no sistema os planos de ação para tratamento dos riscos e datas de com-promisso para cada Gap identificado, previamente alinhado com as áreas, de forma a obter o con-trole de todos os planos de forma automática.

O sistema emitirá alertas de vencimento, e a Assessoria de Controladoria validará se os planos foram realmente cumpridos.

5.4.7 Monitorar o trabalhoA ferramenta sistêmica foi parametrizada com Portais em que são feitos os monitoramentos, de forma que a Assessoria de Controladoria identifique se todos os controles foram revalidados, as revisões pendentes, bem como as evidências recebidas para validação.

Periodicamente, a Assessoria de Controladoria acessa os Portais, a fim de tratar os planos ainda não validados, bem como as evidências não recebidas.

.

Documents

Política da Gestão de Riscos - Extranet Senac4 Política da Gestão de Riscos no Senac - Departamento Nacional 4.5.1 Efetividade do Controle 20 4.6 Planos de ação 21 4.6.1 Regras